Legal Alert: Rozporządzenie o Zarządzaniu Danymi

• zapewnienie łatwiejszego dostępu do pewnych kategorii danych będących w posiadaniu sektora publicznego;
• zapewnienie odpowiednich warunków udostępniania danych;
• regulację rejestracji podmiotów gromadzących i przetwarzających dane udostępniane z pobudek altruistycznych;
• ustanowienie Europejskiej Rady ds. Innowacji w zakresie Danych.

W DGA zastosowano również pojęcia usługi pośrednictwa danych oraz organizacji pośrednictwa danych (ang: data intermediation services providers’, DISPs), do których zaliczyć należy trzy kategorie podmiotów świadczących:

• usługi pośrednictwa między posiadaczami danych będącymi osobami prawnymi a potencjalnymi użytkownikami danych – w zakresie udostępniania danych przemysłowych (np. danych sektora medycznego);
• usługi pośrednictwa między osobami, których dane dotyczą, zamierzającymi udostępnić swoje dane osobowe a potencjalnymi użytkownikami danych – w zakresie udostępniania danych osobowych;
• usługi świadczone przez spółdzielnie danych – w zakresie zbiorowego udostępniania danych.

Jako przykłady usług pośrednictwa danych wskazać można:

• systemy zarządzania informacjami osobowymi (ang. Personal Information Management Systems, PIMS) mające na celu dostarczenie osobom fizycznym narzędzi pomagających w zarządzaniu ich własnymi danymi osobowymi, np. Cozy Cloud – platforma umożliwiająca przechowywanie wielu typów danych w jednym miejscu;
• spółdzielnie danych (ang. data cooperatives) zarządzające danymi w demokratyczny sposób mający na celu niesienie korzyści danej społeczności np. Salus.Coop – organizacja promująca innowacje w sektorze medycznym;
• data trusty (ang. data trusts) ustanawiane w celu przeniesienia odpowiedzialności za zarzadzanie danymi w interesie podmiotów, których dotyczą dane i ich posiadaczy, np. PLACE Trust – podmiot gromadzący dane optyczne pochodzące z mapowania lotniczego;
• unie danych (ang. data unions) walczące o prawa większej grupy podmiotów, np. TheDataUnion – organizacja mająca na celu reprezentację użytkowników różnych portali internetowych i walkę o ich prawa związane z ochroną danych;
• rynki danych (ang. data marketplaces) pośredniczące w przepływie danych, np. APIAGRO – platforma wspierająca dostawców i użytkowników z branży rolniczej;
• pule danych (ang. data sharing pools) tworzone z zamiarem udzielania licencji na korzystanie z puli danych wszystkim zainteresowanym stronom, np. Syndigo – platforma zapewniająca szeroki zakres kategorii danych oraz globalny zasięg.

Do usług pośrednictwa nie należą natomiast zasadniczo usługi analityczne, przechowywania w chmurze, usługi przeglądarek internetowych i wtyczek oraz poczty elektronicznej. Dane nie mogą być przez dostawcę usług wzbogacane bądź przekształcane w sposób mający na celu dodanie im wartości.

Dostawcy usług udostępniania danych zobowiązani są spełnić obowiązki wynikające z uregulowanej w rozdziale III DGA procedury zgłaszania oraz warunków świadczenia usług, najpóźniej do dnia 24 września 2025 roku – dwa lata od momentu rozpoczęcia obowiązywania rozporządzenia.

Z altruistycznym podejściem do danych w rozumieniu DGA mamy do czynienia w przypadku, gdy osoba, której dotyczą dane osobowe, bądź osoba będąca w posiadaniu danych nieosobowych, udostępnia je w interesie publicznym, bez żądania wynagrodzenia z tego tytułu.

Organizacje spełniające wynikające z DGA wymogi, takie jak m.in. prowadzenie działalności o charakterze niekomercyjnym i przestrzeganie zbioru zasad (który ma zostać uzupełniony w późniejszym czasie w formie aktów delegowanych) wpisane zostaną do publicznego krajowego rejestru uznanych organizacji altruizmu danych (ang: data altruism organisations recognised in the Union’, RDAOs).

Wpis do rejestru nie jest obowiązkiem, od którego zależeć będzie możliwość prowadzenia działalności altruizmu danych, jednak ma za zadanie zapewnić większy poziom zaufania ze strony podmiotów, których dotyczą dane i ich posiadaczy, co jest kolejnym istotnym celem DGA.

Utworzona została Europejska Rada ds. Innowacji w zakresie Danych, której celem będzie dostarczanie bieżącego wsparcia i doradztwa m.in. poprzez wydawanie wytycznych.

Kwestia nakładania kar w przypadku nieprzestrzegania przepisów rozporządzenia DGA pozostawiona została do wewnętrznej regulacji państw członkowskich. Mają one jednak obowiązek wprowadzić w tym zakresie skuteczne środki działania, a o fakcie tym poinformować Komisję do dnia 24 września 2023 roku. Najnowsza wersja projektu krajowej ustawy o zarządzaniu danymi przewiduje możliwość nakładania na dostawców usług pośrednictwa danych, w formie decyzji, kar pieniężnych w wysokości do 10% obrotu osiągniętego w poprzednim roku obrotowym.

Kancelaria KPMG Law oferuje:

• sporządzanie opinii i analiz dotyczących zastosowania DGA, dostosowanych do potrzeb konkretnych Klientów;
• sporządzanie wzorów regulaminów i porozumień dot. wykorzystania danych sektora publicznego;
• szkolenia dla Klientów dotyczące przepisów DGA;
• wsparcie Klientów w rozwiązywaniu sporów na tle DGA.